Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Chaos mit Zeit bereinigen

Alles zum Thema vSphere 6.7, ESXi 6.7 und vCenter Server.

Moderatoren: irix, continuum, Dayworker

Benutzeravatar
Member
Beiträge: 443
Registriert: 20.10.2011, 17:55

Chaos mit Zeit bereinigen

Beitragvon MarroniJohny » 08.07.2019, 20:13

Hi

Ich betreibe da seit Jahren einen ESXi, und habe schon jeher ein Chaos mit der Uhrzeit in den Gästen. Ich weiss, dass man in den VM Optionen die Einstellung "Uhrzeit des Gastsystems mit Host synchronisieren" wählen kann, allenfalls den Host wohl auch per NTP die Zeit holen lassen könnte.

Ich habe im Moment die Uhrzeit im BIOS auf MEZ Winterzeit (glaub ich). Wenn ich eine neue VM erstelle, ist die Option "Uhrzeit des Gastsystems mit Host synchronisieren" per default inaktiv.

Ich bin am liebäugeln, den VMs per BIOS die genaue Zeit vorzugeben. Aber würde auch die NTP Variante nehmen, falls das irgendwie besser wäre.

Bevor ich da mit dem basteln anfange, wollte ich Euch mal fragen, was da die best practice ist, um das mal in den Griff zu bekommen.

Gäste sind da querbeet Windows, Linux, Firewalls, VPN Gateways, Filer und so nen Zeugs.

Gruss und danke!

Experte
Beiträge: 1664
Registriert: 04.10.2011, 14:06

Re: Chaos mit Zeit bereinigen

Beitragvon JustMe » 09.07.2019, 08:15

Die Loesung heisst einzig und allein NTP.
Sonst hechelst Du immer den unterschiedlichen Defaults in den verschiedenen Gaesten hinter, ob sie nun selber Sommerzeit-Offsets addieren/subtrahieren/multiplizieren oder sonstwas.
Oder Du wartest einfach, bis sich die Geschichte mit der Sommerzeit von alleine erledigt. Das musst Du dann nur noch den aelteren Gaesten beibringen :-)
Ach ja, das Letzte kann leider noch ein wenig Zeit brauchen... :D

Guru
Beiträge: 2305
Registriert: 23.02.2012, 12:26

Re: Chaos mit Zeit bereinigen

Beitragvon ~thc » 09.07.2019, 09:05

Einfach eine Instanz (VM, physischer Server, Fritz!Box etc.) zum internen NTP-Server machen, der seine Zeit von den NTP-Servern deines Providers holt. Dann alle VMs anweisen, sich ihre Zeit per NTP-Serverdienst vom internen NTP-Server zu holen.

Benutzeravatar
Member
Beiträge: 443
Registriert: 20.10.2011, 17:55

Re: Chaos mit Zeit bereinigen

Beitragvon MarroniJohny » 09.07.2019, 18:00

hhhm, ja danke. Das habe ich leider noch nicht ganz verstanden... :oops:

    1. Bei einem Windows Desktop auf Blech ist es ja glaube ich so, dass sich Windows die Zeit automatisch holt, und die dann wohl auch ins BIOS schreibt? Ist das so richtig?
    2. Geht das bei vSphere auch, also dass sich der ESXi Host die Zeit holt, diese evt. auch ins BIOS schreibt, und die Gäste sich dann die Uhrzeit mit dem Host synchronisieren? Wenn nein, wieso nicht?
    3. Wozu brauche ich einen internen NTP Server? Gerade auch, wenn ich die Gäste auch noch anweisen muss, die Zeit sowieso per NTP zu holen? Wieso nehm ich da nicht gleich den externen? Ah ja stimmt, habe diverse Netze, mit oder ohne Netzwerkzugriff. Aber das zu beregeln wär dann echt zu viel.*
    4. Wird die Uhrzeit nur beim Start der VM synchronisiert, falls die sich die Uhrzeit nicht selber per NTP holt?
    5. Und zu guter letzt: wie weise ich gegebenenfalls die Gäste an, die Uhrzeit per NTP zu holen? Geht das lückenlos mit Windows, Filer, Firewalls und so was? Die Methode im Gast selbst gefällt mir irgendwie auch nicht so, tönt super kompliziert.

* unter anderem läuft so was auf dem Server. Ich habe 13 vSwitches:


Gruss und danke!

Guru
Beiträge: 2305
Registriert: 23.02.2012, 12:26

Re: Chaos mit Zeit bereinigen

Beitragvon ~thc » 10.07.2019, 07:45

1. Windozen haben einen NTP-Client an Bord, der sich per Default die Zeit von time.windows.com holt. Ob und wie Betriebssysteme das dann ins BIOS zurückschreiben, ist ihre Sache. (Ich arbeite viel mit Windoze Domänen-Controllern, die müssen immer zuverlässige NTP-Zeitquellen haben und sind dann selbst eine für alle Clients.)

2. Auch der ESXi hat einen unkonfigurierten NTP-Dienst an Bord, der aber per Default aus ist. Ob dieser die BIOS-Zeit setzt, weiß ich nicht.

3. Das ist gegenüber allen NTP-Dienstbetreibern netter, Best Practice und entspricht dem Konzept von NTP. Du kannst natürlich auf allen Clients NTP-Dienste laufen lassen, die alle nach draußen telefonieren.

4. NTP hält die Zeit durch ausgeklügelte Intervall-Logik synchron - wie das der VMWare Tools Dienst macht, weiß ich nicht.

5. Da musst du in jedem Gast-OS die entsprechenden Dienste konfigurieren, das kann dir bei deiner heterogenen Landschaft keiner genau sagen. Möglicherweise haben einige von deinen Gast-OS keine VMWare Tools - da schauen diese Gast-OS ja dann auch in die Röhre.

Benutzeravatar
Member
Beiträge: 443
Registriert: 20.10.2011, 17:55

Re: Chaos mit Zeit bereinigen

Beitragvon MarroniJohny » 11.07.2019, 06:33

Hi

Dann würd ich den internen NTP Server wohl am besten auf der Zywall anlegen. Das Problem ist halt, dass da nicht alle vSwitches an deren VLANs hängen. Weil da hinten dran sind noch weitere Firewalls auf dem ESXi. Interzone Regeln hab ich bislang voll vermieden in meinem Netzwerk, bzw. an der primären Zywall.

Das einfachste wär wohl, wenn ich tatsächlich eine eigene ****ing VM nur für den NTP Dienst mit 13 vNICs aufziehen würde, würde ich das so weiter ziehen. So ähnlich mach ich das mit einer extra "USB Stick NAS VM", welche an fünf Netzwerken hängt, als schnelle Zwischenablage. Braucht halt alles Ressourcen wie sau.

Andere Baustelle: nur für den Zugriff auf den Switch fahre ich mit einem Patchkabel auf meinen Desktop. Mir hat mal ein Zyxel Profi erklärt, wenn man den Switch Admin in ein VLAN legen könnte, dann könnte man das besagte VLAN in die DMZ legen. Also ein Admin VLAN in der DMZ, wo man auch sonst noch diverses dazu packen kann. Hab ich auch nicht zu 100% verstanden, aber offensichtlich geht das bei meinem Switch nicht, warum auch immer. Aber der NTP Dienst würd da ja wohl auch hin gehören? Das Äusserste was ich bei meinem Setup bislang bereit war, ist vielleicht mal vom LAN in die DMZ beregeln, aber auch das nur ungern. Alles was geht über WAN. Und neue Hardware kommt momentan grad gar nicht in Frage, da habe ich ganz andere Baustellen.

Vielleicht sollte ich mal komplett umdenken. Nur fehlt mir irgendwie die Inspiration dazu. Sorry für OT. Aber vielleicht hat ja Einer von Euch dazu noch eine Idee.

Experte
Beiträge: 1323
Registriert: 30.03.2009, 17:13

Re: Chaos mit Zeit bereinigen

Beitragvon UrsDerBär » 08.01.2020, 11:46

Zwar etwas länger her, aber: Es gibt auch physische NTP Server. Sind gar nicht mal mehr so teuer. Damit könnte man z.Bsp. die Host synchron halten ohne das der Host direkt Zugriff ins normale Netzwerk bzw. Internet haben muss. So starten dann die VM's automatisch mit der richtigen Zeit und müssen nicht erst mit AD oder NTP synchronisiert werden.

Ein bekannter Anbieter ist z.Bsp. https://www.meinberg.de (Der ist aber glaub teuer)

Member
Beiträge: 172
Registriert: 01.12.2015, 18:35

Re: Chaos mit Zeit bereinigen

Beitragvon Stefan.r » 08.01.2020, 15:14

low budget Lössung Raspberry mit Batteriemodul

Benutzeravatar
Member
Beiträge: 443
Registriert: 20.10.2011, 17:55

Re: Chaos mit Zeit bereinigen

Beitragvon MarroniJohny » 09.01.2020, 18:41

Hi

Ja danke. Mir würd schon mal reichen, wenn alle VMs per BIOS die Zeit beziehen. Leider ist das nicht per default so eingestellt beim erstellen einer VM, warum auch immer. Und wenn ich den Host neu starte, vergesse ich auch immer da bei allen VMs mal den Haken endlich zu setzen.

Da würde dann nur noch das Problem Sommer-/Winterzeit übrig bleiben. Dem Host den NTP Server setzen hatte ich mal gemacht, der lief auch, hat das BIOS aber nicht angepasst. So wie z.B. ein Windows Blech dem BIOS die Zeit mitteilt. Mittlerweile ist das ganze Management Zeugs inkl. der beiden Hosts aber in ein internetfreies vLAN umgezogen, da ist nichts mehr mit öffentlichem NTP.

Würd ja auch schon reichen, wenn eine VM auf dem betreffendem Host NTP zur Verfügung stellen würde. Allerdings würde der Dienst dann halt bedingt nach dem Host starten. Wie gesagt, die VM's haben alle die unterschiedlichsten Netze anhängen. Habe da irgendwie 13 vSwitches im Moment. Mich dünkt schon eine extra VM für den Dienst völlig überzogen, RasperyPi mit Batteriemodul bzw. Hardwareserver kommt definitiv nicht in Frage, und schon gar nicht mit 4 NICs, nur damit die Uhrzeit einigermassen passt. Das müsste schon per OS mit dem BIOS synchronisiert gehen, weil mit den ganzen normalen Desktops geht das ja auch.

Guru
Beiträge: 2305
Registriert: 23.02.2012, 12:26

Re: Chaos mit Zeit bereinigen

Beitragvon ~thc » 09.01.2020, 22:40

MarroniJohny hat geschrieben:Das müsste schon per OS mit dem BIOS synchronisiert gehen, weil mit den ganzen normalen Desktops geht das ja auch.

Ist da nicht ein Denkfehler drin?

Nach meinem Wissen geht das mit den Desktops und dem BIOS nur deswegen so einigermaßen, da die beide quasi "Ping-Pong" spielen. Die BIOS-Zeit hat eine Drift und die OS-Zeit auch. Da aber die Zeit beim Booten vom BIOS übernommen wird und nach der OS-Korrektur (time.windows.com) beim Herunterfahren wieder ins BIOS geschrieben wird, bleiben beide Drifts "im Normalfall" klein.

Deine VMs können zwar beim Booten die Zeit des BIOS übernehmen aber der BIOS-Drift wird nicht korrigiert. Und wenn die VM länger läuft, schaut sie IMHO auch nicht regelmäßig im BIOS nach der Uhr, sondern hat die eigene, nicht korrigierte Drift.

Experte
Beiträge: 1323
Registriert: 30.03.2009, 17:13

Re: Chaos mit Zeit bereinigen

Beitragvon UrsDerBär » 11.01.2020, 11:57

Nun, normal ist ja das Management-Netzwerk eh auf separaten LAN-Ports oder wenigstens VLAN. Du brauchst also keine neuen LAN-Ports. Genau darüber kann bzw. muss dann auch der Host per NTP die Zeit beziehen wenn Du eine korrekte Zeit im Host haben möchtest. Wie Du das erreichst ist egal, Hauptsache die Zeit steht vor dem Start der ersten VM zu Verfügung.

Die Zeit im BIOS ist mit der Zeit nicht wirklich korrekt wenn sie eben wie thc schon anmerkte nicht von einer VM korrigiert wird. Auch Winter- Sommerzeit funktioniert in der Regel nicht. Nicht ohne Grund kosten genaue Hardware-Zeitquellen gutes Geld, das ist alles andere als trivial. Deshalb synchronisiert man sich immer wieder mal mit einer genauen Zeitquelle. Das machen auch Hardware-Zeitserver zum kaufen.

Mit ESX bleibt Dir einzig und alleine ein Abgleich auf Management-Ebene
- Der Host braucht selber Zugang ins Internet - ob man das will?
- Der Host bekommt Zugang via Routing ins Internet - Könnte man ne VM mit Ports im LAN und Management hernehmen und nur ntp durchlassen
- Die AD VM bekommt eine zweite Netzwerkkarte mit Zugriff ins Managementnetzwerk, da wird dann nur NTP durchgelassen, muss man halt gut sauber aufgleisen mit Reihenfolge der Adapter, DNS, Firewall etc. dann kann man warten mit anderen VM's starten bis der AD-Host sich im Internet gesynct hat und der ESX mit AD


Zurück zu „vSphere 6.7“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste